Resultados 1 a 10 de 10
  1. #1
    Louco pelo WHT Brasil
    Data de Ingresso
    Oct 2010
    Posts
    142

    [Dica] Como identificar se um cliente seu está rodando IRC?

    Apesar de você deixar claro que não permite IRC, muitos clientes insistem em usar - ou - podem ter sido invadidos e um canal de IRC ter sido criado.

    Para saber se existem algum rodando em seu servidor, siga os seguintes passos:

    Primeiro, você precisa ver qual processo está sendo usando:

    netstat -anp|grep :6667

    você irá ver algo assim:

    tcp 0 1 69.65.X.X:41327 194.134.7.194:6667 SYN_SENT 10043/exim

    o que indica que o processo malicioso é o 10043

    Agora você vai ver onde o processo está sendo executado e por qual arquivo:

    lsof -p 10043

    você irá ver algo assim:

    crond 10043 root txt REG 0,59 492135 9887624 /usr/local/games/mech/crond

    agora que você encontrou o arquivo infectado, vamos removê-lo:

    rm -rf /usr/local/games/*

    e matar o processo que está rodando:

    kill -9 10043
    Francisco Dutra
    Analista Suporte Web

  2. #2
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Francisco,

    O problema é que o IRC não roda só na porta 6667, ele pode rodar em qualquer porta.
    Em geral, se escolhe uma porta entre 6000 e 7000. As "defaults" de instalação variam conforme o IRCd escolhido, e estão entre 6665-6669, 7000, 7070, 8000, 8001, 8002. Mas tem gente que roda na 10000, etc.

  3. #3
    Louco pelo WHT Brasil
    Data de Ingresso
    Oct 2010
    Posts
    142
    Citação Postado originalmente por cresci Ver Post
    Francisco,

    O problema é que o IRC não roda só na porta 6667, ele pode rodar em qualquer porta.
    Em geral, se escolhe uma porta entre 6000 e 7000. As "defaults" de instalação variam conforme o IRCd escolhido, e estão entre 6665-6669, 7000, 7070, 8000, 8001, 8002. Mas tem gente que roda na 10000, etc.
    é verdade cresci,

    no exemplo já havíamos identificado que o tráfego "estranho" estava nesta porta, se não me engano ela estava aberta no firewall.

    você conhece uma forma de se descobrir a porta?

    obrigado pela lembrança!
    Francisco Dutra
    Analista Suporte Web

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Nov 2010
    Posts
    1,608
    Pessoal,

    Qual o problema do IRC? Digo, quais os problemas que ele pode causar?

  5. #5
    Super Moderador
    Data de Ingresso
    Sep 2010
    Localização
    Procurando...
    Posts
    4,106
    Citação Postado originalmente por chuvadenovembro Ver Post
    Pessoal,

    Qual o problema do IRC? Digo, quais os problemas que ele pode causar?
    geralmente é proibido pelo datacenter, se voce rodar podem te desconectar por abuse

  6. #6
    Moderador
    Data de Ingresso
    Oct 2010
    Localização
    Rio de Janeiro
    Posts
    2,679
    Francisco, teria que fazer uma filtragem a nível de camada 7 (layer 7) para barrar o protocolo em si (e não a porta).

    chuva, IRC tem que levar em consideração o "temperamento" dos usuários e a facilidade que se tem de que um deles fique nervosinho com o outro e inicie um ataque DDoS contra o servidor, para derrubar a rede inteira ou fazer um netsplit e o cara conseguir dar "takeover" no canal (ou simplesmente provar que é "o bonzão"). É questão de engenharia social. Por isso, muitos datacenters proíbem IRC em suas redes para evitar ser alvo à toa de DDoS ("bala perdida"), já que eles já levam muitas "balas encontradas" com nome e endereço...

  7. #7
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Posts
    441
    Citação Postado originalmente por cresci Ver Post
    Francisco, teria que fazer uma filtragem a nível de camada 7 (layer 7) para barrar o protocolo em si (e não a porta).

    chuva, IRC tem que levar em consideração o "temperamento" dos usuários e a facilidade que se tem de que um deles fique nervosinho com o outro e inicie um ataque DDoS contra o servidor, para derrubar a rede inteira ou fazer um netsplit e o cara conseguir dar "takeover" no canal (ou simplesmente provar que é "o bonzão"). É questão de engenharia social. Por isso, muitos datacenters proíbem IRC em suas redes para evitar ser alvo à toa de DDoS ("bala perdida"), já que eles já levam muitas "balas encontradas" com nome e endereço...
    Exatamente o que o nosso amigo falou.
    Mas acrescentando também, não é porque está rodando um serviço de IRC eu quer dizer que é um "servidor de IRC", pode ser também um bot e/ou botnet, no caso de bot um iroffer para distribuição de arquivos que inclusive dependendo do bot e canal consome uma banda do capeta e se eu não me engano não é calculado pelo cPanel, e o botnet que é um script usado para fazer ataques dos/ddos também.
    Eles rodam normalmente na porta 6660~6669 e 7000.

  8. #8
    Quero ser Guru
    Data de Ingresso
    Oct 2010
    Posts
    88
    Pessoal,

    não adianta estas portas estarem fechadas no CSF?

    o programa abre elas?

  9. #9
    Aspirante a Evangelist
    Data de Ingresso
    Nov 2010
    Posts
    441
    Citação Postado originalmente por Ruka Ver Post
    Pessoal,

    não adianta estas portas estarem fechadas no CSF?

    o programa abre elas?
    Adianta.
    Se as portas tiverem fechada o processo roda, mas não haverá conexão, entende?
    Ao menos em bot/botnet não irá conectar.

  10. #10
    Membro
    Data de Ingresso
    Oct 2010
    Posts
    7
    Citação Postado originalmente por cresci Ver Post
    Francisco, teria que fazer uma filtragem a nível de camada 7 (layer 7) para barrar o protocolo em si (e não a porta).

    chuva, IRC tem que levar em consideração o "temperamento" dos usuários e a facilidade que se tem de que um deles fique nervosinho com o outro e inicie um ataque DDoS contra o servidor, para derrubar a rede inteira ou fazer um netsplit e o cara conseguir dar "takeover" no canal (ou simplesmente provar que é "o bonzão"). É questão de engenharia social. Por isso, muitos datacenters proíbem IRC em suas redes para evitar ser alvo à toa de DDoS ("bala perdida"), já que eles já levam muitas "balas encontradas" com nome e endereço...
    ah... Bons tempos de IRC... #Brasil na EFNet... briga de Ops... guerras de canais... guerras de redes... ...

    Esse negócio continua forte? Para mim foi algo que ficou na década de 90.

    Se continua forte é exatamente o que o cresci falou: ter um servidor IRC significa virar alvo potencial para DDoS.
    ----
    Neytiri calls me "skxawng".

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •